由於表妹及時給系統打上補丁,所以不可能被黑客通過網頁木馬利用系統漏洞進行入侵,那木馬又是從何而來呢?我聯想到最近無意間從網上看到一篇文章,文章介紹了一款可以見縫插針的軟件RobinPE。這款軟件可以將惡意程序插入到一個可執行文件中,而且被插入的文件大小不會發生改變。當用戶每次正常啟動這個文件後,被插入的惡意程序就會悄悄的釋放出來,並在後台秘密的運行。
想到這些我便問表妹:“最近有沒有下載什麼可疑的程序啊?”表妹想想,回答道:“前段時間,我下載了一個最新的MSN 8,還是綠色版的。”我知道,所謂的綠色版,其實就是一些網友制作的修改版,也許木馬程序就隱藏在這個MSN 8中。經過檢測我發現這個MSN 8是通過UPX經過了加殼處理的,於是更加懷疑這個文件。果然解殼後,發現在這個所謂的“綠色版”MSN 8裡面捆綁了灰鴿子木馬,看來我的猜測沒有錯。
不管這麼多,先將表妹電腦中的灰鴿子清除掉(清除灰鴿子木馬的方法在《電腦報》今年第12期F6版中有介紹)。tw.wiNgwit.CoM本來問題解決了就應該沒有什麼事情了,可是表妹是個打破沙鍋問到底的性格,什麼事情都想知道個徹底,於是又央求我給她講這個捆綁了木馬的文件是怎樣產生的。沒法子了,我只好再來研究這這個捆綁了木馬的文件的產生過程。
“強悍的”注入捆綁
From:http://tw.wingwit.com/Article/Network/201309/956.html